Сайт | Скачать | Видео | Wiki

Автор Тема: Уязвимости spectre/meltdown  (Прочитано 4846 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Уязвимости spectre/meltdown
« : 16 Январь 2018, 11:03:15 »
https://www.opennet.ru/opennews/art.shtml?num=47856
Проверить : https://github.com/speed47/spectre-meltdown-checker

Вкл\ выкл IBRS ;
Код
pti=off spectre_v2=off nospec_store_bypass_disable
Все параметры
pti=on spectre_v2=on может задать в параметрах загрузки принудительно
pti
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls

https://www.opennet.ru/opennews/art.shtml?num=47942
Цитата
Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off".
« Последнее редактирование: 01 Январь 2022, 22:07:36 от sfs »

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Ядро и зависимые программы
« Ответ #1 : 19 Февраль 2018, 14:29:48 »
ядро 4.14.20-pf10  и х64
https://debian.pro/2596
Код
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO
* Mitigation 2
  * Kernel compiled with retpoline option:  UNKNOWN  (couldn't read your kernel configuration)
  * Kernel compiled with a retpoline-aware compiler:  NO  (kernel reports minimal retpoline compilation)
> STATUS:  VULNERABLE  (Vulnerable: Minimal generic ASM retpoline)
Kernel is compiled with IBRS/IBPB support:  NO - действительно без этого или скрипт лажает?
Остальные варианты - норм
« Последнее редактирование: 19 Февраль 2018, 14:33:20 от sfs »

Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Re: Re: Ядро и зависимые программы
« Ответ #2 : 19 Февраль 2018, 14:33:38 »
Pti вроде включал, retpoline вроде тоже
Завтра гляну
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Re: Re: Ядро и зависимые программы
« Ответ #3 : 20 Февраль 2018, 02:54:30 »
CONFIG_RETPOLINE=y и в х32 и в х64 ядрах

CONFIG_PAGE_TABLE_ISOLATION=y только в х64 ядре, для x32 нету.

больше незнаю что включать.
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Re: Ядро и зависимые программы
« Ответ #4 : 20 Февраль 2018, 09:00:42 »
IBRS/IBPB - это и есть PTI или как?

Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Re: Re: Ядро и зависимые программы
« Ответ #5 : 20 Февраль 2018, 09:07:06 »
IBRS/IBPB - это и есть PTI или как?
возможно
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Re: Ядро и зависимые программы
« Ответ #6 : 20 Февраль 2018, 09:12:48 »
Может проверить чужое ядро и сравнить конфиги....
А может скрипт так определяет из-за Mitigated according to the /sys interface:  NO

Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Re: Re: Ядро и зависимые программы
« Ответ #7 : 20 Февраль 2018, 09:15:59 »
cat /proc/cpuinfo можно еще смотреть, там строчка bugs

pti=on spectre_v2=on может задать в параметрах загрузки принудительно, я меня все отключено
с микрокодами еще непонятно, интел вроде отозвали январскую версию
« Последнее редактирование: 20 Февраль 2018, 09:17:50 от Pro »
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Re: Ядро и зависимые программы
« Ответ #8 : 20 Февраль 2018, 09:32:14 »
cat /proc/cpuinfo можно еще смотреть, там строчка bugs
ядро 4.14.20-pf10  и х64
Код
# cat /proc/cpuinfo |grep bugs
bugs            : cpu_meltdown spectre_v1 spectre_v2
bugs            : cpu_meltdown spectre_v1 spectre_v2
Это хорошо или плохо?



Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Re: Re: Ядро и зависимые программы
« Ответ #9 : 20 Февраль 2018, 09:35:42 »
Это хорошо или плохо?
видимо плохо
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Re: Ядро и зависимые программы
« Ответ #10 : 20 Февраль 2018, 09:53:34 »
Надо как-то добивать тему этих багов.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Уязвимости spectre/meltdown
« Ответ #11 : 20 Февраль 2018, 16:49:44 »
http://www.opennet.ru/opennews/art.shtml?num=48105
Цитата
Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода


Загрузил модуль с intel-microcode в pfs-test
По идее у нас сейчас микрокоды лежат в модуле с фирмваре, думаю в нем и надо заменить.
Добавил - тест без улучшений
Перепаковал из арчрепы linux-firmware-20180119_any.pfs
 тест без улучшений
Причем загрузка микрокода,  включается через tmpfiles.d
Код
sudo echo > /sys/devices/system/cpu/microcode/reload
Пробовал - без улучшений

Кстати IBRS можно вкл\выкл
В 4.14.20-pf10 /sys/kernel/debug/ibrs_enabled вообще нет
Поискал  IBRS  IBPS - в конфиге этого ядра - нет (я не знаю должно ли быть и как называется)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Уязвимости spectre/meltdown
« Ответ #12 : 20 Февраль 2018, 17:03:58 »
4.14.20-pf10
Может мы торопимся - полностью дыры закрыты только в 4.15

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Уязвимости spectre/meltdown
« Ответ #13 : 20 Февраль 2018, 17:09:25 »
cat /proc/cpuinfo можно еще смотреть, там строчка bugs
Вроде еще
Код
sudo cat /sys/devices/system/cpu/vulnerabilities/*
И со spectre_v2 все плохо

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33966
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re: Уязвимости spectre/meltdown
« Ответ #14 : 20 Февраль 2018, 17:19:56 »
Может мы торопимся - полностью дыры закрыты только в 4.15
Похоже торопимся
Цитата
Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.

Я так понимаю в 4.14.20 IBRS patch series нет
« Последнее редактирование: 20 Февраль 2018, 17:25:43 от sfs »